WannaCry

@Sorokin_trip · Регистрация: 03.02.2016

Author24 — интернет-сервис помощи студентам

Таки словил я этого зловреда, хотя порты закрыты.
Прошу помощи в удалении вируса и его следов (включая зашифрованные файлы). Систему не откатывал, но некоторые файлы пришлось в срочном порядке восстановить из бэкапа.
Вот что заметил - вирус отработал только на двух сетевых дисках, но у пользователей проблемы не заметил от слова совсем - личные файлы в порядке, другие общие папки не затронуты. Зашифрованной только оказалась служебная директория программы TradeX, при чем на удаленных объектах (в других подсетях) я даже не увидел, что файлы оказались зашифрованы. Такое вижу впервые, прям мистика для меня - сетевые диски подключаются с сервера и по идее проблема должна быть видна не только в центральной подсети, но и по ВПН.
В общем, архив с логами во вложении....

@Sorokin_trip · 02.10.2017, 07:08 **[ТС]**

Нашел зараженную машину, с которой пошло распространение. Порты для SMB закрыты (которые рекоммендовали закрыть, когда появился wannacry), поэтому в сеть не ушло (на сколько могу судить по текущей ситуации), но затронуло сетевые диски с прогруммой на сервере, о котором написано выше. Отсоединил машину от сети.
Создавать отдельную тему или выкладывать логи с зараженной машины прям сюда?

@Sandor · 02.10.2017, 09:42

Здравствуйте!

Сервер заражен, будем лечить. Поэтому логи с другой машины выложите в отдельной теме.

Внимание! Рекомендации написаны специально для пользователя Sorokin_trip. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 TerminateProcessByName('c:\intel\web\microsoft\xstarter\services.exe');
 StopService('WindowsDefender');
 QuarantineFile('c:\intel\web\microsoft\xstarter\services.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe', '');
 DeleteFile('c:\intel\web\microsoft\xstarter\services.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe', '32');
 DeleteService('WindowsDefender');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@Sorokin_trip · 02.10.2017, 10:07 **[ТС]**

Файл карантина отправил, но перезагрузить сервер сейчас нет возможности. Перегружу после 13:00 по МСК, подготовлю логи и отправлю

@Sorokin_trip · 03.10.2017, 02:51 **[ТС]**

Прикрепил

@Sandor · 03.10.2017, 08:57

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

Постарайтесь найти пару - зашифрованный/не зашифрованный оригинал. Ищите такой на других устройствах, внешних носителях, резервных копиях и т.д.
Упакуйте вместе с запиской с требованием выкупа и прикрепите к следующему сообщению.

@Sorokin_trip · 04.10.2017, 07:02 **[ТС]**

Сделано

@Sandor · 04.10.2017, 08:51

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
IFEO\sethc.exe: [Debugger] seth.exe
GroupPolicy: Restriction <==== ATTENTION
S2 xStarter; "C:\Intel\Web\Microsoft\xStarter\services.exe" /startedbyscm:2020FC88-40E2E8D8-srvXStarter [X] <==== ATTENTION
Task: {DDBBEBC4-66D7-4A17-BC17-E28BF59EF526} - System32\Tasks\GoogleUpdateTaskMashine => C:\Program Files\Common Files\Microsoft Shared\System\webisida.browser.exe [] (Webisida.com) <==== ATTENTION
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Добавлено через 4 минуты
Проверьте ЛС.

@Sorokin_trip · 04.10.2017, 10:04 **[ТС]**

Готово

@Sandor · 04.10.2017, 10:11

Сообщение от Sandor

Проверьте ЛС

и здесь сообщите результат.

@Sorokin_trip · 04.10.2017, 10:14 **[ТС]**

Декриптор работает - файлы успешно расшифровываются

@Sandor · 04.10.2017, 10:16

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

@Sorokin_trip · 04.10.2017, 10:21 **[ТС]**

Файлы расшифрованы, скрипт отработал - найдено две уязвимости в офисе,к оторые позволяли удаленно выполнять код. Установил обновления - уязвимости пофиксились.
Завтра принесу модем и соберу логи с машины, с которой эта дрянь полезла.
Спасибо вам огромное!!!

@Sandor · 04.10.2017, 10:26

Рекомендации после удаления вредоносного ПО

@Sorokin_trip · 04.10.2017, 10:36 **[ТС]**

Еще раз спасибо!

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,188
	04.10.2017, 10:16	12
	Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: Код var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. 0

@Sorokin_trip 2 / 2 / 0 Регистрация: 03.02.2016 Сообщений: 184
	04.10.2017, 10:36 [ТС]	15
	Еще раз спасибо! 0

@Sorokin_trip 2 / 2 / 0 Регистрация: 03.02.2016 Сообщений: 184
	02.10.2017, 07:08 [ТС]	2
	Нашел зараженную машину, с которой пошло распространение. Порты для SMB закрыты (которые рекоммендовали закрыть, когда появился wannacry), поэтому в сеть не ушло (на сколько могу судить по текущей ситуации), но затронуло сетевые диски с прогруммой на сервере, о котором написано выше. Отсоединил машину от сети. Создавать отдельную тему или выкладывать логи с зараженной машины прям сюда? 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,188
	02.10.2017, 09:42	3
	Здравствуйте! Сервер заражен, будем лечить. Поэтому логи с другой машины выложите в отдельной теме. Внимание! Рекомендации написаны специально для пользователя Sorokin_trip. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin TerminateProcessByName('c:\intel\web\microsoft\xstarter\services.exe'); StopService('WindowsDefender'); QuarantineFile('c:\intel\web\microsoft\xstarter\services.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe', ''); DeleteFile('c:\intel\web\microsoft\xstarter\services.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe', '32'); DeleteService('WindowsDefender'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 0

@Sorokin_trip 2 / 2 / 0 Регистрация: 03.02.2016 Сообщений: 184
	02.10.2017, 10:07 [ТС]	4
	Файл карантина отправил, но перезагрузить сервер сейчас нет возможности. Перегружу после 13:00 по МСК, подготовлю логи и отправлю 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,188
	03.10.2017, 08:57	6
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. Постарайтесь найти пару - зашифрованный/не зашифрованный оригинал. Ищите такой на других устройствах, внешних носителях, резервных копиях и т.д. Упакуйте вместе с запиской с требованием выкупа и прикрепите к следующему сообщению. 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,188
	04.10.2017, 08:51	8
	Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: CreateRestorePoint: IFEO\sethc.exe: [Debugger] seth.exe GroupPolicy: Restriction <==== ATTENTION S2 xStarter; "C:\Intel\Web\Microsoft\xStarter\services.exe" /startedbyscm:2020FC88-40E2E8D8-srvXStarter [X] <==== ATTENTION Task: {DDBBEBC4-66D7-4A17-BC17-E28BF59EF526} - System32\Tasks\GoogleUpdateTaskMashine => C:\Program Files\Common Files\Microsoft Shared\System\webisida.browser.exe [] (Webisida.com) <==== ATTENTION End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер вручную. Добавлено через 4 минуты Проверьте ЛС. 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,188
	04.10.2017, 10:11	10
	Сообщение от Sandor Проверьте ЛС и здесь сообщите результат. 0

@Sorokin_trip 2 / 2 / 0 Регистрация: 03.02.2016 Сообщений: 184
	04.10.2017, 10:14 [ТС]	11
	Декриптор работает - файлы успешно расшифровываются 0

@Sorokin_trip 2 / 2 / 0 Регистрация: 03.02.2016 Сообщений: 184
	04.10.2017, 10:21 [ТС]	13
	Файлы расшифрованы, скрипт отработал - найдено две уязвимости в офисе,к оторые позволяли удаленно выполнять код. Установил обновления - уязвимости пофиксились. Завтра принесу модем и соберу логи с машины, с которой эта дрянь полезла. Спасибо вам огромное!!! 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,188
	04.10.2017, 10:26	14
	Рекомендации после удаления вредоносного ПО 0